Este capítulo describe las acciones que debe llevar a cabo antes de configurar una zona con marca lx en sistemas basados en x64 o x86. En este capítulo también se explica cómo utilizar el comando zonecfg.
El uso de zonas con marca lx está asociado con las siguientes consideraciones de equipo principales.
El equipo debe estar basado en x64 o x86.
Debe haber suficiente espacio en el disco para los archivos exclusivos en cada zona lx. Los requisitos de espacio en el disco para una zona lx los determina el tamaño y la cantidad de RPM, o los paquetes de Linux, que haya instalados.
La marca lx sólo es compatible con el modelo raíz completa, de modo que cada zona instalada tiene su propia copia de cada archivo.
No hay límites en cuanto a la cantidad de espacio en el disco que puede utilizar una zona. El administrador global es responsable de la restricción de espacio. El administrador global debe asegurarse de que el almacenamiento local sea suficiente para contener un sistema de archivos raíz de una zona no global. Si hay suficiente espacio de almacenamiento, incluso los pequeños sistemas de un solo procesador pueden admitir la ejecución simultánea de una serie de zonas.
Pueden utilizarse las siguientes opciones para limitar el tamaño de zona:
Puede colocar la zona en una partición montada con lofi. Esta acción limite la cantidad de espacio consumida por la zona a la del archivo utilizado por lofi. Para más información, consulte las páginas del comando man lofiadm(1M) y lofi(7D).
Puede utilizar particiones de software para dividir los segmentos de discos o volúmenes lógicos en particiones. Puede utilizar estas particiones como raíz de zona, y de esta forma, limitar el consumo de disco por zona. El límite de partición de software es de 8.192 particiones. Para más información, consulte el Capítulo 12, Soft Partitions (Overview) de Solaris Volume Manager Administration Guide.
Puede utilizar las particiones estándar de un disco como raíces de zona, y de esta forma, limitar el consumo de disco por zona.
Cada zona que requiere conectividad de red tiene una o más direcciones IP exclusivas. Se admiten direcciones IPv4. Debe asignar una dirección IPv4 para la zona. Para más información, consulte Dirección de red de zona con marca. De manera opcional, también puede definir el enrutador predeterminado para la interfaz de red, tal como se muestra en Cómo configurar la zona con marca lx.
El comando zonecfg se utiliza para:
Definir la marca de la zona.
Crear la configuración para la zona lx.
Verificar la configuración para determinar si las propiedades y los recursos especificados son legales y coherentes internamente en un sistema hipotético basado en x86 o x64.
Llevar a cabo una verificación específica de la marca. La verificación garantiza lo siguiente:
La zona no puede tener ningún directorio de paquetes heredado, conjunto de datos ZFS ni dispositivos añadidos.
Si la zona se configura para utilizar audio, los dispositivos especificados (si los hay) deben ser none, default o un solo dígito.
La comprobación que lleva a cabo el comando zonecfg verify para una configuración específica:
Asegura que se especifica una ruta de zona
Asegura que se especifican todas las propiedades necesarias para cada recurso
Asegura que se cumplan los requisitos de la marca
Para obtener más información sobre el comando zonecfg, consulte la página del comando man zonecfg(1M).
Esta sección cubre los componentes siguientes:
Recursos de zonas y propiedades que se pueden configurar con el comando zonecfg
Recursos incluidos en la configuración de modo predeterminado
Debe elegir un nombre y una ruta para la zona.
La configuración de la propiedad autoboot determina si la zona se inicia automáticamente al iniciar la zona global.
Si ha configurado agrupaciones de recursos en el sistema tal como se describe en el Capítulo 13Creación y administración de agrupaciones de recursos (tareas), puede utilizar la propiedad pool para asociar la zona con una de las agrupaciones de recursos al configurar la zona.
Si no tiene configuradas las agrupaciones de recursos, puede especificar que un subconjunto de los procesadores del sistema se dedique a una zona no global mientras se ejecuta utilizando el recurso dedicated-cpu. El sistema creará dinámicamente una agrupación temporal para utilizar mientras se ejecuta la zona.
Una configuración de zona que utiliza un conjunto de agrupaciones persistentes mediante la propiedad pool es incompatible con una agrupación temporal configurada mediante el recurso dedicated-cpu. Puede definir sólo una de estas dos propiedades.
El recurso dedicated-cpu especifica que un subconjunto de los procesadores del sistema debe dedicarse a una zona no global mientras se ejecuta. Cuando se inicia la zona, el sistema crea dinámicamente una agrupación temporal para utilizar mientras se ejecuta la zona.
El recurso dedicated-cpu establece los límites de ncpus y, opcionalmente, importance.
Especifique el número de CPU o un intervalo, por ejemplo 2–4 CPU. Si especifica un intervalo porque desea que la agrupación de recursos tenga un comportamiento dinámico, haga también lo siguiente:
Configure la propiedad importance.
Active el servicio de agrupación de recursos dinámicos que se describe en Activación y desactivación de la función de agrupaciones.
Si utiliza un intervalo de CPU para conseguir un comportamiento dinámico, defina también la propiedad importance. La propiedad importance, que es opcional, define la importancia relativa de la agrupación. Esta propiedad sólo se necesita cuando especifica un intervalo para ncpus y está utilizando agrupaciones de recursos dinámicos administradas por poold. Si poold no está en ejecución, se omite importance. Si poold está en ejecución y no se configura importance, importance tendrá el valor de 1 de forma predeterminada. Para obtener más información, consulte Restricción de la propiedad pool.importance.
El rctl cpu-shares y el recurso dedicated-cpu son incompatibles.
El recurso capped-cpu indica el límite absoluto relativo a la cantidad de recursos de CPU que un proyecto o una zona pueden consumir. El recurso capped-cpu tiene una sola propiedad ncpus que es un número positivo con dos decimales. Esta propiedad corresponde a unidades de CPU. El recurso no acepta un intervalo. El recurso acepta un número decimal. Cuando se especifica ncpus, un valor de 1 significa el 100 por ciento de una CPU. Un valor de 1,25 significa el 125 por ciento, ya que 100 por ciento corresponde a toda una CPU del sistema.
Los recursos capped-cpu y dedicated-cpu son incompatibles.
Puede utilizar el programador de reparto justo (FSS) para controlar la asignación de los recursos de CPU disponibles entre las zonas, basándose en su importancia. Dicha importancia se expresa con el número de recursos compartidos de los recursos de la CPU que asigna a cada zona.
Cuando define la propiedad cpu-shares de forma explícita, el programador de reparto justo (FSS) se utilizará como clase de planificación para dicha zona. Sin embargo, se recomienda utilizar FSS como la clase de planificación predeterminada con el comando dispadmin. De este modo, todas las zonas se beneficiarán de un reparto justo de los recursos de la CPU del sistema. Si no se configura cpu-shares para una zona, la zona utilizará la clase de planificación predeterminada del sistema. Las acciones siguientes definen la clase de planificación para una zona:
Puede utilizar la propiedad scheduling-class de zonecfg para definir la clase de planificación para la zona.
Es posible configurar la clase de planificación para una zona mediante la utilidad de agrupaciones de recursos. Si la zona se asocia con una agrupación que tiene la propiedad pool.scheduler configurada como una clase de planificación válida, de modo predeterminado los procesos que se ejecutan en la zona se ejecutan en dicha clase. Consulte Introducción a las agrupaciones de recursos y Cómo asociar una agrupación con una clase de planificación.
Si el rctl cpu-shares está configurado y FSS no se ha configurado como clase de planificación para la zona mediante otra acción, zoneadmd define la clase de planificación como FSS cuando se inicia la zona.
Si no se configura la clase de planificación mediante otra acción, la zona hereda la clase de planificación predeterminada del sistema.
Puede utilizar el comando priocntl descrito en la página del comando man priocntl(1) para mover los procesos en ejecución a una clase de planificación diferente sin cambiar la clase de planificación predeterminada ni reiniciar.
El recurso capped-memory define los límites para la memoria physical, swap y locked. Cada límite es opcional, pero debe configurarse como mínimo uno.
Determine los valores para este recurso si tiene previsto limitar la memoria para la zona utilizando rcapd desde la zona global. La propiedad physical del recurso capped-memory la utiliza rcapd como valor max-rss para la zona.
La propiedad swap del recurso capped-memory es el modo recomendado de definir el control de recurso zone.max-swap.
La propiedad locked del recurso capped-memory es el modo recomendado de definir el control de recurso zone.max-locked-memory.
Normalmente, las aplicaciones no bloquean cantidades importantes de memoria, pero, si lo desea, puede establecer memoria bloqueada si se sabe que las aplicaciones de la zona bloquean la memoria. Si le preocupa la confianza en una zona, también puede establecer un límite de memoria bloqueada de hasta un 10% de la memoria física del sistema o un 10% del límite de la memoria física de la zona.
Para más información, consulte el Capítulo 10Control de memoria física utilizando el daemon de límite de recursos (descripción general), el Capítulo 11Administración del daemon de límite de recursos (tareas) y Cómo configurar la zona con marca lx.
En una zona con marca lx sólo se admiten configuraciones de red de IP compartida.
Cada zona que requiere conectividad de red debe tener una o más direcciones IP dedicadas. Estas direcciones se asocian con las interfaces de red lógicas. Las interfaces de red que configure el comando zonecfg se configurarán automáticamente y se colocarán en la zona cuando se inicie. A partir de Solaris 10 10/08, también existe la posibilidad de definir el enrutador predeterminado para la interfaz de red mediante la propiedad defrouter.
Generalmente, los sistemas de archivos montados en una zona incluyen:
El conjunto de sistemas de archivos montados cuando se inicia la plataforma virtual
El conjunto de sistemas de archivos montados desde la misma zona
Puede incluir, por ejemplo, los siguientes sistemas de archivos:
Montajes con automount
Montajes llevados a cabo por un administrador de zona de forma explícita
Los montajes llevados a cabo desde el entorno de aplicación tienen determinadas limitaciones. Estas limitaciones evitan que el administrador de zona deniegue el servicio al resto del sistema, o que tenga repercusiones negativas en otras zonas.
Existen limitaciones de seguridad asociadas con el montaje de determinados sistemas de archivos dentro de una zona. Otros sistemas de archivos muestran un comportamiento especial cuando se montan en una zona. Consulte Sistemas de archivos y zonas no globales para obtener más información.
El método recomendado más sencillo de configurar un control de recursos de zonas es utilizar el nombre de propiedad en lugar del recurso rctl. Estos límites se especifican tanto para las zonas globales como para las no globales.
El administrador global también puede definir controles de recursos de zonas con privilegios para una zona utilizando el recurso rctl.
Los controles de recursos de la zona limitan el uso total de los recursos de todas las entidades de procesos de una zona. Estos límites se especifican tanto para las zonas globales como para las no globales utilizando el comando zonecfg. Para obtener instrucciones, consulte Cómo configurar la zona con marca lx.
Hay disponibles los siguientes controles de recursos:
Tabla 32–1 Controles de recursos de la zona
Nombre de control |
Nombre de propiedad global |
Descripción |
Unidad predeterminada |
Valor utilizado para |
---|---|---|---|---|
zone.cpu-cap |
En Solaris versión 10 5/08, establece el límite absoluto de recursos de CPU que se asignan a esta zona. Un valor de 100 significa el 100 por ciento de una CPU como opción de project.cpu-cap. Un valor de 125 representa el 125 por ciento, ya que el 100 por ciento corresponde a una CPU completa del sistema al utilizar el recurso cpu-cap. |
Cantidad (número de CPU) | ||
zone.cpu-shares |
cpu-shares |
Número de recursos compartidos de CPU del planificador de reparto justo (FSS) para esta zona |
Cantidad (recursos compartidos) | |
zone.max-locked-memory |
|
Cantidad total de memoria física bloqueada disponible para una zona. |
Tamaño (bytes) |
Propiedad locked de capped-memory |
zone.max-lwps |
max-lwps |
Número máximo de procesos ligeros disponibles de forma simultánea para esta zona |
Cantidad (LWP) | |
zone.max-msg-ids |
max-msg-ids |
Número máximo de ID de cola de mensajes permitidos para esta zona |
Cantidad (ID de cola de mensajes) | |
zone.max-sem-ids |
max-sem-ids |
Número máximo de ID de semáforo permitidos para esta zona |
Cantidad (ID de semáforo) | |
zone.max-shm-ids |
max-shm-ids |
Número máximo de ID de memoria compartida permitidos para esta zona |
Cantidad (ID de memoria compartida) | |
zone.max-shm-memory |
max-shm-memory |
Cantidad total de memoria compartida System V permitida para esta zona |
Tamaño (bytes) | |
zone.max-swap |
|
Cantidad total de intercambio que pueden consumir las asignaciones de espacio de direcciones del proceso del usuario y los montajes tmpfs para esta zona. |
Tamaño (bytes) |
Propiedad swap de capped-memory |
La propiedad limitpriv se utiliza para especificar una máscara de privilegios que no sea el conjunto predeterminado. Cuando se inicia una zona, se incluye un conjunto de privilegios predeterminado en la configuración de marca. Estos privilegios se consideran seguros porque evitan que un proceso con privilegios de la zona afecte a los procesos de otras zonas no globales en el sistema o en la zona global. Puede utilizar la propiedad limitpriv para:
Añadir al conjunto predeterminado de privilegios, teniendo en cuenta que esta clase de cambios puede permitir que los procesos de una zona afecten a los procesos de otras zonas al ser capaces de controlar un recurso global.
Eliminar del conjunto predeterminado de privilegios, teniendo en cuenta que esta clase de cambios puede impedir que algunos procesos funcionen correctamente si requieren la ejecución de dichos privilegios.
Existen unos cuantos privilegios que no se pueden eliminar del conjunto de privilegios predeterminado de la zona, y hay otros tantos que no se pueden añadir al conjunto en este momento.
Para más información, consulte Privilegios definidos en las zonas con marca lx, Privilegios en una zona no global y privileges(5).
Puede utilizar el tipo de recurso attr para activar el acceso a un dispositivo de audio presente en la zona global. Para obtener instrucciones, consulte el paso 12 de Cómo configurar, verificar y confirmar la zona con marca lx.
También puede añadir un comentario para una zona utilizando el tipo de recurso attr.
Los dispositivos compatibles con cada zona se describen en las páginas del comando man y otra documentación relativa a la marca. La zona lx no permite añadir ningún dispositivo no compatible o no reconocido. La estructura detecta cualquier intento de añadir un dispositivo no compatible. Se emite un mensaje de error que indica que la configuración de zona no se puede verificar.
Tenga en cuenta que se puede añadir acceso a un dispositivo de audio que se ejecute en la zona global mediante la propiedad del recurso attr, tal como se muestra en el paso 12 de Cómo configurar, verificar y confirmar la zona con marca lx.
Los sistemas de archivos que se necesitan para una zona con marca se definen en la marca. Puede añadir sistemas de archivos Solaris adicionales a una zona con marca lx utilizando la propiedad de recurso fs, tal como se muestra en el paso 9 de Cómo configurar, verificar y confirmar la zona con marca lx.
No es posible añadir sistemas de archivos Linux locales. Puede montar mediante NFS sistemas de archivos desde un servidor Linux.
Los procesos se limitan a un subconjunto de privilegios. La limitación de privilegios impide que una zona lleve a cabo operaciones que podrían afectar a otras zonas. El conjunto de privilegios limita las funciones de los usuarios con privilegios en la zona.
De modo predeterminado, cada marca define los privilegios predeterminados, los predeterminados necesarios, los opcionales y los prohibidos. También es posible añadir o eliminar determinados privilegios utilizando la propiedad limitpriv, tal como se muestra en el paso 8 de Cómo configurar, verificar y confirmar la zona con marca lx. En la Tabla 27–1 se enumeran todos los privilegios de Solaris y el estado de cada privilegio con respecto a las zonas.
Para obtener más información acerca de los privilegios, consulte la página del comando man ppriv(1) y System Administration Guide: Security Services.
El comando zonecfg, que se describe en la página del comando man zonecfg(1M), se utiliza para configurar una zona. Este comando también se puede utilizar para especificar de forma persistente la configuración de la administración de recursos para la zona global.
El comando zonecfg se puede utilizar de modo interactivo, en el modo de línea de comandos o en el modo de archivo de comandos. Con este comando pueden realizarse las operaciones siguientes:
Crear o eliminar (destruir) una configuración de zona
Añadir recursos a una configuración específica
Definir las propiedades para los recursos añadidos a una configuración
Eliminar recursos de una configuración específica
Consultar o verificar una configuración
Confirmar una configuración
Restablecer una configuración anterior
Cambiar el nombre de una zona
Salir de una sesión de zonecfg
El indicador zonecfg tiene el siguiente formato:
zonecfg:zonename> |
Cuando configura un tipo de recurso específico, como un sistema de archivos, dicho tipo de recurso también se incluye en el indicador:
zonecfg:zonename:fs> |
Para más información, incluidos los procedimientos que muestran cómo utilizar los distintos componentes zonecfg que se describen en este capítulo, consulte Cómo configurar la zona con marca lx.
El concepto de ámbito se utiliza para la interfaz de usuario. El ámbito puede ser global o específico del recurso. El ámbito predeterminado es global.
En el ámbito global, los subcomandos add y select se utilizan para seleccionar un recurso concreto. A continuación, el ámbito cambia al tipo de recurso.
En el caso del subcomando add, se utilizan los subcomandos end o cancel para completar la especificación del recurso.
En el caso del subcomando select, se utilizan los subcomandos end o cancel para completar la modificación del recurso.
El ámbito pasa a ser de nuevo global.
Determinados subcomandos, como add, remove y set, tienen semánticas diferentes para cada ámbito.
En el modo interactivo, se admiten los subcomandos siguientes. Para obtener información detallada sobre la semántica y las opciones que se utilizan con los subcomandos, consulte las opciones en la página del comando man zonecfg(1M. ) En el caso de los subcomandos que podrían ocasionar acciones destructivas o una pérdida de trabajo, el sistema solicita una confirmación del usuario antes de proceder. Puede utilizar la opción -F (forzar) para pasar por alto esta confirmación.
Imprime ayuda general o muestra ayuda sobre un recurso específico.
zonecfg:lx-zone:net> help |
Empieza configurando la memoria interna para la nueva zona con marca.
Con la opción -t plantilla, para crear una configuración idéntica a la plantilla especificada. Se cambia el nombre de zona del nombre de plantilla al nuevo nombre de zona. Para crear una zona con marca Linux, utilice:
zonecfg:lx-zone> create -t SUNWlx |
Con la opción -b, para crear una configuración vacía para la que puede definir la marca.
zonecfg:lx-zone> create -b zonecfg:lx-zone> set brand=lx |
Con la opción -F, para sobrescribir una configuración existente.
Imprime la configuración en una salida estándar, o el archivo de salida especificado, con un formato que pueda utilizarse en una línea de comandos.
En el ámbito global, añade el tipo de recurso especificado a la configuración.
En el ámbito de recurso, añade una propiedad con un nombre y valor específicos.
Consulte Cómo configurar la zona con marca lx y la página del comando man zonecfg(1M) para obtener más información.
Establece un nombre de propiedad determinado con un valor de propiedad específico. Observe que algunas propiedades, como zonepath, son globales, mientras que otras son específicas del recurso. De este modo, este comando se aplica tanto en los ámbitos global como del recurso.
Sólo se aplica en el entorno global. Seleccione el recurso del tipo específico que coincida con el criterio de par de valor de propiedad y nombre de propiedad para su modificación. El ámbito se cambia para ese tipo de recurso. Debe especificar un número suficiente de valores de nombre y valor para que el recurso se identifique de modo exclusivo.
Borra el valor de los parámetros opcionales. Los parámetros obligatorios no se pueden borrar. Sin embargo, es posible cambiar algunos parámetros obligatorios asignándoles un nuevo valor.
En el ámbito global, elimina el tipo de recurso especificado. Debe especificar un número suficiente de pares de nombre y valor de propiedad para poder identificar de forma exclusiva el tipo de recurso. Si no se especifica ningún par de nombre y valor de propiedad, se eliminan todas las instancias. Si hay más de uno, se requiere una confirmación a menos que se utilice la opción -F.
En el ámbito del recurso, elimina el valor de propiedad y el nombre de la propiedad del recurso actual.
Sólo se aplica al ámbito del recurso. Finaliza la especificación del recurso.
A continuación, el comando zonecfg verifica que se especifique por completo el recurso actual.
Si se especifica por completo, se añade a la configuración de la memoria interna y el ámbito pasará a ser de nuevo global.
Si la especificación está incompleta, el sistema muestra un mensaje de error que describe lo que debe hacerse.
Sólo se aplica al ámbito del recurso. Finaliza la especificación del recurso y restablece el ámbito global. No se conserva ningún recurso especificado parcialmente.
Destruye la configuración especificada. Elimina la configuración de la memoria y del almacenamiento estable. Debe utilizar la opción -F (forzar) con delete.
Esta acción es instantánea. No se requiere ninguna confirmación, y una zona eliminada no puede recuperarse.
Muestra información sobre la configuración actual o las propiedades de recursos globales zonepath, autoboot y pool. Si se especifica un tipo de recurso, únicamente muestra información sobre los recursos de ese tipo. En el ámbito del recurso, este subcomando sólo se aplica al recurso que se está añadiendo o modificando.
Comprueba que la configuración actual sea correcta. Se asegura de que todos los recursos tengan especificadas todas las propiedades obligatorias.
Confirma la configuración actual de la memoria al almacenamiento estable. Hasta que se confirma la configuración de la memoria interna, los cambios se pueden eliminar con el subcomando revert. Una configuración debe confirmarse para que la pueda utilizar zoneadm. Esta operación se intenta realizar automáticamente al completar una sesión de zonecfg. Dado que sólo se puede confirmar una configuración correcta, la operación de confirmación lleva a cabo una verificación.
Devuelve la configuración al último cambio confirmado.
Cierra la sesión zonecfg. Puede utilizar la opción -F (forzar) con exit.
Se intenta automáticamente el comando commit si es preciso. También puede utilizarse un carácter EOF para cerrar la sesión.
En el modo de archivo de comando, la información se obtiene de un archivo. El subcomando export descrito en Modo interactivo zonecfg se utiliza para crear este archivo. La configuración puede imprimirse en una salida estándar, o bien puede utilizarse la opción -f para especificar un archivo de salida.
La información relativa la configuración de zonas se compone de dos tipos de entidades: recursos y propiedades. Cada recurso tiene un tipo y también pude tener un conjunto de una o más propiedades. Las propiedades tienen nombres y valores. El conjunto de propiedades depende del tipo de recurso.
Los tipos de recursos y propiedades se describen del modo siguiente:
El nombre de zona identifica la zona para la utilidad de configuración. Se aplican las siguientes reglas a los nombres de zonas:
Cada zona debe tener un nombre exclusivo.
Los nombres de zona distinguen entre mayúsculas y minúsculas.
Un nombre de zona debe empezar con un carácter alfanumérico.
El nombre puede contener caracteres alfanuméricos, guiones de subrayado (_), guiones (-) y puntos (.).
El nombre no puede superar los 64 caracteres.
El nombre global y todos los nombres que empiezan por SUNW están reservados y no pueden utilizarse.
La propiedad zonepath es la ruta al directorio raíz de la zona. Cada zona tiene una ruta a su directorio raíz relativa al directorio raíz de la zona global. Durante la instalación, el directorio de zona global debe tener una visibilidad limitada. Además, debe ser propiedad del root con el modo 700.
La ruta del directorio raíz de la zona no global se encuentra a un nivel inferior. El directorio raíz de la zona tiene la misma propiedad y los mismos permisos que el directorio raíz ( /) de la zona global. El directorio de la zona debe ser propiedad de root con el modo 755. Estos directorios se crean automáticamente con los permisos correctos, y no es necesario que los verifique el administrador de zona. Con esta jerarquía se asegura que los usuarios sin privilegios de la zona global no pasen a un sistema de archivos de una zona no global.
Ruta |
Descripción |
---|---|
/home/export/lx-zone |
zonecfg zonepath |
/home/export/lx-zone/root |
Raíz de la zona |
/home/export/lx-zone/root/dev |
Dispositivos creados para la zona |
Consulte Recorrido de sistemas de archivos para obtener información más detallada sobre esta cuestión.
Puede mover una zona a otra ubicación del mismo sistema especificando un nuevo zonepath completo con el subcomando move de zoneadm. Consulte Solaris 10 11/06: movimiento de una zona no global para averiguar cómo hacerlo.
Si esta propiedad está configurada como verdadera, la zona se inicia automáticamente cuando se inicia la zona global. Tenga en cuenta que si el servicio de zonas, svc:/system/zones:default, está desactivado, la zona no se iniciará automáticamente, independientemente de la configuración de esta propiedad. Puede activar el servicio de zonas con el comando svcadm descrito en la página del comando man svcadm(1M):
global# svcadm enable zones |
Esta propiedad se utiliza para configurar un argumento de inicio para la zona. Se aplica el argumento de inicio a menos que lo modifiquen los comandos reboot, zoneadm boot o zoneadm reboot. Consulte Argumentos de inicio de zonas con marca.
Esta propiedad se utiliza para asociar la zona con una agrupación de recursos específica del sistema. Varias zonas pueden compartir los recursos de una agrupación. Consulte también Especificación del recurso dedicated-cpu.
Esta propiedad se utiliza para especificar una máscara con privilegios que no sea la predeterminada. Consulte Privilegios en una zona no global.
Se añaden privilegios especificando el nombre del privilegio, con o sin priv_ al inicio. Los privilegios se excluyen incluyendo un guión (-) o un signo de exclamación (!) al principio del nombre. Los valores de privilegios se separan con comas y se colocan entre comillas (“).
Tal como se describe en priv_str_to_set(3C), los conjuntos de privilegios especiales de none, all y basic se expanden a sus definiciones normales. Dado que la configuración de zona tiene lugar desde la zona global, no es posible utilizar el conjunto de privilegios especiales zone. Dado que un uso común es modificar el conjunto de privilegios predeterminado añadiendo o eliminando ciertos privilegios, el conjunto especial default se asigna al conjunto de privilegios predeterminado. Cuando se incluye default al principio de la propiedad limitpriv, se expande al conjunto predeterminado.
La entrada siguiente añade la posibilidad de configurar el reloj del sistema y elimina la función de enviar paquetes básicos del Protocolo de mensajes de control de Internet (ICMP):
global# zonecfg -z userzone zonecfg:userzone> set limitpriv="default,sys_time,!net_icmpaccess" |
Si el conjunto de privilegios de la zona contiene un privilegio no permitido, no tiene un privilegio obligatorio o incluye un privilegio desconocido, cualquier intento de verificar, configurar como lista o iniciar la zona generará un mensaje de error.
Esta propiedad configura la clase de planificación para la zona. Consulte Clase de planificación en una zona para obtener información adicional y conocer algunas recomendaciones.
Este recurso dedica un subconjunto de los procesadores del sistema a la zona mientras está en ejecución. El recurso dedicated-cpu establece los límites de ncpus y, opcionalmente, importance . Para más información, consulte Especificación del recurso dedicated-cpu.
Este recurso agrupa las propiedades utilizadas cuando se limita la memoria para la zona. El recurso capped-memory establece los límites para la memoria physical, swap y locked. Debe especificarse al menos una de estas propiedades.
Cada zona puede tener diferentes sistemas de archivos que se montan cuando la zona pasa del estado de instalada al estado de lista. El recurso del sistema de archivos especifica la ruta al punto de montaje del sistema de archivos. Para obtener información sobre el uso de los sistemas de archivos en las zonas, consulte Sistemas de archivos y zonas no globales.
El recurso de la interfaz de red es el nombre de la interfaz virtual. Cada zona puede tener interfaces de red que deben configurarse cuando la zona pasa del estado de instalada al estado de lista.
En una zona con marca lx sólo se admiten configuraciones de red de IP compartida.
El recurso rctl se utiliza para los controles de recursos de toda la zona. Los controles están activos cuando la zona pasa del estado de instalada al estado de lista.
Para configurar los controles de zonas utilizando el subcomando set nombre_propiedad_global de zonefig en lugar del recurso rctl, consulte Cómo configurar la zona con marca lx.
Este atributo genérico puede utilizarse para los comentarios del usuario u otros subsistemas. La propiedad name de attr debe empezar con un carácter alfanumérico. La propiedad name puede contener caracteres alfanuméricos, guiones (-) y puntos (.). Los nombres de atributos que empiezan por zone. se reservan para uso del sistema.
Los recursos también cuentan con propiedades que se deben configurar. Las siguientes propiedades se asocian con los tipos de recursos mostrados.
ncpus, importance
Especifica el número de CPU y, opcionalmente, la importancia relativa de la agrupación. El ejemplo siguiente especifica un intervalo de CPU para uso de la zona my-zone. También se configura importance.
zonecfg:my-zone> add dedicated-cpu zonecfg:my-zone:dedicated-cpu> set ncpus=1-3 zonecfg:my-zone:dedicated-cpu> set importance=2 zonecfg:my-zone:dedicated-cpu> end |
ncpus
Especifique el número de CPU. El ejemplo siguiente especifica un límite de 3,5 CPU para uso de la zona lx-zone.
zonecfg:lx-zone> add capped-cpu zonecfg:lx-zone:capped-cpu> set ncpus=3.5 zonecfg:lx-zone:capped-cpu> end |
physical, swap, locked
Este recurso agrupa las propiedades que se utilizan al limitar la memoria para la zona. El ejemplo siguiente especifica los límites de memoria para la zona my-zone. Cada límite es opcional, pero debe configurarse como mínimo uno.
zonecfg:my-zone> add capped-memory zonecfg:my-zone:capped-memory> set physical=50m zonecfg:my-zone:capped-memory> set swap=100m zonecfg:my-zone:capped-memory> set locked=30m zonecfg:my-zone:capped-memory> end |
dir, special, raw, type, options
Las líneas del ejemplo siguiente añaden acceso de sólo lectura a los medios de CD o DVD en una zona no global. El sistema de archivos se monta en bucle con las opciones ro,nodevices (sólo lectura y sin dispositivos) en la zona no global.
zonecfg:lx-zone> add fs zonecfg:lx-zone:fs> set dir=/cdrom zonecfg:lx-zone:fs> set special=/cdrom zonecfg:lx-zone:fs> set type=lofs zonecfg:lx-zone:fs> add options [ro,nodevices] zonecfg:lx-zone:fs> end |
Tenga en cuenta que las páginas del comando man de la sección 1M están disponibles para las opciones de montaje que son exclusivas de un sistema de archivos específico. Los nombres de estas páginas del comando man tienen el formato mount_sistema_archivos.
address, physicaldefrouter,
En el ejemplo siguiente, se añade a una zona la dirección IP 192.168.0.1. Se utiliza una tarjeta bge0 para la interfaz física y se define el enrutador predeterminado.
zonecfg:lx-zone> add net zonecfg:lx-zone:net> set address=192.168.0.1 zonecfg:lx-zone:net> set physical=bge0 zonecfg:lx-zone:net> set defrouter=10.0.0.1 zonecfg:lx-zone:net> end |
Para determinar la interfaz física que se va a utilizar, escriba ifconfig -a en el sistema. Cada línea de la salida, a excepción de las líneas de controladores de bucle, empieza por el nombre de una tarjeta instalada en el sistema. Las líneas que contienen LOOPBACK en las descripciones no se aplican a las tarjetas.
name, value
En Controles de recursos de zonas en una zona con marca lx se describen los controles de recursos de zona disponibles.
zonecfg:lx-zone> add rctl zonecfg:lx-zone:rctl> set name=zone.cpu-shares zonecfg:lx-zone:rctl> add value (priv=privileged,limit=10,action=none) zonecfg:lx-zone:rctl> end |
zonecfg:lx-zone> add rctl zonecfg:lx-zone:rctl> set name=zone.max-lwps zonecfg:lx-zone:rctl> add value (priv=privileged,limit=100,action=deny) zonecfg:lx-zone:rctl> end |
name, type, value
En el ejemplo siguiente, se añade un comentario sobre una zona.
zonecfg:lx-zone> add attr zonecfg:lx-zone:attr> set name=comment zonecfg:lx-zone:attr> set type=string zonecfg:lx-zone:attr> set value="Production zone" zonecfg:lx-zone:attr> end |
Puede utilizar el subcomando export para imprimir una configuración de zona en la salida estándar. La configuración se guarda en un formato que se puede utilizar en un archivo de comandos.